SSHおよびHTTPトラフィックをリダイレクトします。 Ettercapフィルターを使用したトラフィックリダイレクションBeEFフッキング

この記事では、中間者攻撃、つまりその方法について説明します。
Man in theMiddle攻撃を使用してSSHおよびHTTPトラフィックをリダイレクトします。 猫を尻尾で引っ張るのではなく、仕事に取り掛かりましょう。

中間者（要するに、ロシア語からのMitM-「中間者攻撃」または「man
真ん中」）は、情報を傍受するために2台のマシン間でトラフィックをリダイレクトすることに基づく攻撃の一種です。情報をさらに調査、破棄、または変更します。したがって、最初に必要なのはdsniffパッケージです（パッケージへのリンクは次の場所に表示されます）。このパッケージには、sshmitm（SSHトラフィックのリダイレクト）やhttpmitm（HTTPトラフィックのリダイレクト）など、必要なすべてのユーティリティが含まれているため、次のセキュリティスキームをバイパスできます。ご存知のとおり、データ暗号化プロトコルは非常に「安全」（暗号化が役立つ:)）であり、ネットワーク層の「上」への攻撃を許可しません。暗号化キーはハッカーにはわかりません。データを復号化してコマンドを挿入することも不可能です。大丈夫ですが、これが方法です
dsniffパッケージのMitM攻撃プログラム（sshmitmおよびhttpmitm）はバイパスできるため このシステムセキュリティ（ほとんどすべてを回避できます）。 これはすべて、次の原則に従って行われます。
中間ホストはクライアントから要求を受信し、それがサーバーであることを「通知」してから、実サーバーに接続します。
2番目に必要なのはまっすぐな腕、4番目（最も重要なもの）の欲求、そしてもちろん、犠牲者、つまり私たちが攻撃するコンピューターです。

SSHトラフィックのリダイレクト

ツールキットを準備した後、何が何で、なぜかを理解しました:)。 sshmitmを取得します-SSHトラフィックをリダイレクトします（理論的な部分では理解できなかったすべて-上記を読んでください）
それを使用して、今日のPKI（公開鍵インフラストラクチャ-に基づく鍵管理スキーム）の欠点を活用します
非対称暗号化の方法）。 構文を見てみましょう
sshmitm：

sshmitm [-d] [-I] [-pポート]ホスト

D
デバッグ出力を許可する（つまり、より高度なモード）

私
セッションハイジャック

Pポート
リスニングポート

ホスト
セッションが傍受されるリモートホストのアドレス

ポート
リモートホストのポート

すべてがシンプルで上品なようです-複雑なものは何もありません:)。 攻撃を始めましょう！

＃sshmitm server.target.gov // SSHサーバーを指定します
sshmitm：サーバーserver.target.govへの中継

実際のSSHキーがないため、攻撃されたコマンドインタープリター
ホストキーをチェックするリクエストが表示されます。すべて次のようになります。

clientmachine $ server.target.gov
@警告：リモートホストの識別が変更されました！ @
誰かが何か厄介なことをしている可能性があります！
誰かが今あなたを盗聴している可能性があります（中間者攻撃）！
RSAホストキーが変更されたばかりである可能性もあります。
システム管理者に連絡してください。

そして、ユーザーは接続するかどうかを決定します。 その場合、SSHセッションを完全に制御できます。
しかし！ ユーザーがその手押し車に接続したことがない場合は、次のメッセージが表示されることがあります。

ホスト「server.target.gov」の信頼性を確立できません
RSAキーのフィンガープリントは
bla：bla：bla; bla; bla.......。
接続を継続してもよろしいですか（はい/いいえ）？

ここで、ユーザーには接続するかどうかという2つの選択肢もあります。 はいの場合はセッションをインターセプトし、そうでない場合は残念ながら... :(。
一般に、ユーザーが接続し、sshmitmがすべてのパスとログインを記録し、非常に読みやすい場合、攻撃は成功しました🙂
当然、これはSSHセッションインターセプターだけではありませんが、これに慣れれば、もう一方を簡単にマスターできます🙂

HTTPトラフィックのリダイレクト

次に、HTTPトラフィックをリダイレクトします。 ここでも、すでに選択されているツールが必要です。httpmitmは、80-（HTTP-）および443-（HTTPS-）ポートでリッスンし、WEB要求をインターセプトしてから、サーバーに接続し、要求をクライアントコンピューターに転送します。 このプログラムは、OpenSSLを使用してSSLキーとSSL証明書も生成します。 その後、試した後
サイト（target.gov）に接続すると、ブラウザはSSL証明書を確認します。 証明書が一致しないため、ユーザーのブラウザは警告を発します
間違ったSSL証明書。 攻撃者の観点からは、次のようになります。

#webmitm -d
webmitm：透過的に中継する
webmitm：からの新しい接続
GET [link] /uzerz.php?user=hellknights&password=neskaju1qwerty HTTP / [version]
接続タイプ]
ホスト：www.target.gov
ユーザーエージェント：[システム、ブラウザに関する情報]
[などなど]
クッキー：[クッキー]

これは外から見たときの様子です-
SSL接続が傍受され、暗号化されていないデータが取得されます。

結論

この記事では、中間者攻撃を使用したSSHおよびHTTPトラフィックのリダイレクトについて説明しました。 その他のHTTPおよびSSHリダイレクトプログラム
MitMの助けを借りて、これらもマスターした場合は、トラフィックをすばやくマスターできます:)）。 何かが明確でない場合-それでは。

次のタイプの攻撃は、攻撃されたコンピュータのトラフィックを、攻撃者またはサードパーティのアドレスである可能性のある偽のアドレスに誘導することを目的としています。 たとえば、ユーザーが企業サーバーや銀行サーバーに送信するデータストリームは、攻撃者が2つの方法で破棄する可能性があります。 1つ目は、攻撃者が自分を宛先のサーバーに偽装し、クライアントに「画像」と期待するメッセージを渡すことです。 たとえば、攻撃者は、ユーザーIDとパスワードを取得しながら、被害者のユーザーの論理的なログイン手順を模倣することができます。 このデータは、攻撃の主な標的である企業または銀行のサーバーへの不正アクセスに後で使用される可能性があります。 2番目の方法は、交通機関を整理することです。 傍受された各パケットは、攻撃側のノードに保存および/または分析されてから、「実際の」サーバーに転送されます。 したがって、クライアントとサーバー間のすべてのトラフィックは、攻撃者のコンピューターを通過します。

このタイプの攻撃を実行するときに現在（または最近）使用されているテクニックのいくつかを考えてみましょう。 それらのほとんどについて、対抗策はすでに開発されており、ここで与えられた攻撃の説明は、本質的に主に教育的なものです。

ローカルネットワーク上のトラフィックをリダイレクトする最も簡単な方法は、偽のARP-omeemaをネットワークに送信することで実行できます。 （攻撃者が自分のローカルネットワーク上のトラフィックを傍受することに関心がある場合に、このような状況がどのくらいの頻度で発生する可能性があるかという質問はさておきましょう。）この場合、スキームは明らかです。攻撃者は、このIPアドレスが自身のMACアドレスに対応していることが報告されたスプーフィングされたARP応答を送信します。

理論的には、ICMPプロトコルを使用して、ローカルネットワーク上のトラフィックを傍受およびリダイレクトすることもできます。 このプロトコルに従って、ICMPルートリダイレクトメッセージは、デフォルトルーターによって、直接接続されたLANホストに送信されます。そのルートに障害が発生した場合、またはホストが宛先アドレスに不合理なルートを使用していることを検出した場合です。 イチジクに 1、およびホストH2にアドレス指定されたホストH1からパケットを受信したデフォルトルータR1は、ホストH2への最適なルートがこのローカルネットワーク上の別のルータ、つまりルータR2を経由することを決定します。 ルータR1は受信したパケットを破棄し、そのヘッダーをホストH1に送信するUMPリダイレクトメッセージに配置します。 メッセージには、ホストH2にデータを送信するときにホストが使用する必要がある代替ルーターR2のIPアドレスが含まれています。 ホストH1はルーティングテーブルに変更を加え、それ以降、新しく更新されたルートを介してホストH2にパケットを送信します。 ホストH1からホストH2に送信されるトラフィックを傍受するには、攻撃者はルートリダイレクトに関するUMPメッセージを装ったパケットを生成してホストHIに送信する必要があります（図1b）。 このメッセージは、IPhaがIPアドレスH2を持つすべてのパケットの次のルーターのアドレスになるように、ホストH1のルーティングテーブルを調整することを要求します。 これは、攻撃者のホス​​トHAのアドレスです。 ホストがこのメッセージを「信じる」には、デフォルトルーターであるR1のアドレスを送信元IPアドレスフィールドに入力する必要があります。 だまされたホストによって送信されたパケットが攻撃者のノードに到着し始めると、攻撃者はこれらのパケットをキャプチャして転送せず、これらのパケットが対話を維持することを目的としたアプリケーションを模倣するか、指定されたへのトランジットデータ送信を編成します。宛先IPn2-ノードH1とH2の間のトラフィック全体を読み取り、攻撃者はH2サーバーへの不正アクセスに必要なすべての情報を受け取ります。

トラフィックを傍受する別の方法は、偽のDNS-omeemoeを使用することです（図2）。 攻撃者のタスクは、企業サーバーへのアクセスを取得することです。 これを行うには、彼は企業ネットワークの許可されたユーザーの名前とパスワードを所有する必要があります。 彼は、企業クライアントが企業サーバーに送信するデータストリームを分岐することにより、この情報を取得することにしました。 攻撃者は、シンボリックDNS名www.example.comを指定することにより、クライアントがサーバーに接続していることを認識します。 また、パケットをサーバーに送信する前に、 ソフトウェアクライアントマシンはDNSサーバーにクエリを送信して、この名前に対応するIPアドレスを見つけます。

攻撃者の目的は、DNSサーバーの応答に先んじて、IPアドレスの代わりに独自の応答をクライアントに課すことです。 企業サーバー（例193.25.34.125）攻撃者は、攻撃しているホストのIPアドレス（203.13.1.123）を指定します。 この計画の実施にはいくつかの大きな障害があります。

米。 1. UMPプロトコルを使用したルートリダイレクト：a-ホストH2へのより合理的なルートに関するメッセージがデフォルトルーターR1によって送信されます。
b-ルートをそれ自体にリダイレクトすることに関するメッセージは、攻撃しているホストHAによって送信されます

米。 2.偽のDNS応答を使用してトラフィックをリダイレクトするスキーム

まず、DNSサーバーの応答を遅らせる必要があります。このため、たとえば、サーバーはDoS攻撃を受ける可能性があります。 もう1つの問題は、データがアプリケーションに到達するためにパケットヘッダーで指定する必要があるDNSクライアントポート番号を決定することです。 また、DNSのサーバー部分にいわゆる「既知の」番号53が永続的に割り当てられている場合、DNSプロトコルのクライアント部分は起動時に動的にポート番号を受け取ります。 オペレーティング・システムかなり広い範囲から選択します。

DNSプロトコルは、管理者による構成方法に応じて、UDPプロトコルとTCPプロトコルの両方を使用してメッセージを送信できることに注意してください。 TCPプロトコルは、送受信されたバイト数を追跡​​する論理接続を確立するため、この場合、UDPデータグラムプロトコルを使用する場合よりも、クライアントサーバーダイアログに「侵入」することははるかに困難です。

ただし、後者の場合、DNSクライアントのUDPポート番号を決定する問題が残ります。 攻撃者は、考えられるすべての数値を直接列挙することで、この問題を解決します。 また、攻撃者は可能な値を列挙することで、DNSメッセージ識別子を決定する問題を克服します。 これらの識別子はDNSメッセージで運ばれ、DNSクライアントが送信されたクエリに対する着信応答を照合するために使用されます。 そのため、攻撃者はクライアントマシンに誤ったDNS応答を攻撃し、識別フィールドのすべての可能な値を並べ替えて、クライアントが最終的にそれらの1つを真のDNS応答として受け入れるようにします。 これが発生するとすぐに、攻撃者の目標は達成されたと見なすことができます。クライアントからのパケットは攻撃しているホストのアドレスに送信され、攻撃者は合法的なユーザーの名前とパスワードを自由に使用でき、企業にアクセスできます。サーバ。

に関する質問の説明 情報セキュリティーハッカーとその作業方法の説明なしでは不可能です。 「ハッカー」という用語は、コンピューターに侵入する人を意味するために使用されます。

ハッカーは、コンピューターとネットワークがどのように機能するかを明確に理解し、システム操作を実行するためにプロトコルがどのように使用されるかを理解している、知識が豊富で技術に精通した人々です。 ハッカーの仕事の動機は、自分自身や最も一般的な欲望に注意を引きたいという願望とは異なる可能性があります。

ハッカー攻撃の最新の方法

最近の攻撃の多くは、いわゆる「スクリプトキディ」方式で実行されます。 攻撃者はインターネットでエクスプロイトスクリプトを検索し、見つけたすべてのシステムに対して実行します。 データ 簡単な方法攻撃には特別な知識や指示は必要ありません。

ただし、攻撃を受けているコンピュータ、ネットワーク、およびシステムの動作をより深く理解することに基づく方法は他にもあります。 この記事では、そのような方法について説明します。

ネットワークを聞く

リスニング、またはスニッフィング（スニッフィング）-ハッカー/クラッカーがパスワードやその他のシステム情報を収集するために使用する方法。 操作のために、コンピュータのネットワークインターフェースは混合トラフィック（プロミスキャスモード）をリッスンするように設定されています。 ネットワークアダプターこのアダプタ宛てのパケットだけでなく、ネットワーク内を移動するすべてのパケットを傍受します。 このタイプのスニファは、ネットワークハブを備えた共有帯域幅ネットワークでうまく機能します。

今ハブを見つけることは非常にです 大問題-ネットワークスイッチが主に使用されているため、スニッフィングの効率が低下し始めました。 スイッチ環境では、ブロードキャストモードは使用されません。代わりに、パケットは受信システムに直接送信されます。 ただし、スイッチは安全装置ではありません。 これらは普通です ネットワークデバイスしたがって、それらが提供するセキュリティは、設計の要素というよりも、ネットワーク目的の副産物です。 スイッチ環境用に特別に設計されたスニファもあります

スイッチ環境でトラフィックをリッスンするには、次のいずれかの条件が満たされている必要があります。
対象のトラフィックをスニファーにルーティングする必要があることをスイッチに「納得」させます。
スイッチにすべてのトラフィックをすべてのポートに送信するように強制します。

条件の1つが満たされると、スニファーは対象のトラフィックを読み取ることができるため、ハッカーに必要な情報を提供します。

トラフィックのリダイレクト

スイッチは、イーサネットネットワーク上のフレームのメディアアクセスコントロール（MAC）アドレスに基づいて、トラフィックをポートに転送します。 各ネットワークインターフェイスには一意のMACアドレスがあり、スイッチはどのアドレスがどのポートにあるかを「認識」しています。 したがって、特定の宛先MACアドレスでフレームを送信する場合、スイッチはそのフレームを特定のMACアドレスが割り当てられているポートに転送します。

以下は、ネットワークトラフィックをスニファーに転送するようにスイッチを強制する方法です。
ARPスプーフィング
MACアドレスの重複。
ドメイン名の模倣。

ARPスプーフィング（ARPスプーフィング）。 ARPは、特定のIPアドレスに関連付けられたMACアドレスを取得するために使用されるアドレス解決プロトコルです。 これは次のように機能します。トラフィックを送信するとき、送信システムは受信者のIPアドレスにARP要求を送信します。 受信システムは、送信システムがトラフィックを転送するために使用するMACアドレスを送信することにより、この要求に応答します。

スニファーが対象のトラフィックをキャプチャすると、実際の受信システムではなくARP要求に応答し、独自のMACアドレスを提供します。 その結果、送信システムはトラフィックをスニファーに送信します。

このプロセスを有効にするには、すべてのトラフィックを実際の宛先ではなくスニファーに転送する必要があります。 これを行わないと、ネットワークへのアクセスが拒否される可能性があります。 私は追加します..

ARPメッセージはルーティングされないため、ARPスプーフィングはサブネット（単一のネットワークセグメント）でのみ機能します。 スニファは、送信側および受信側のシステムと同じLANセグメントに配置する必要があります。

MACアドレスが重複しています。 宛先システムのMACアドレスを複製することは、スイッチを「説得」してトラフィックをスニファーに送信するもう1つの方法です。 これを行うには、ハッカーはスニファーのMACアドレスを変更し、同じローカルネットワークセグメントに配置する必要があります。
もう一度追加します。

ARPスプーフィングを実行するには、MACアドレスを複製できるように、スニファーを両方のシステム（送信者と受信者）と同じローカルサブネットに配置する必要があります。

ドメイン名の模倣。 スイッチにすべてのトラフィックをスニファーに送信させる3番目の方法があります。データ送信にスニファーの実際のMACアドレスを使用するように送信システムを「だます」必要があります。 これは、ドメイン名を模倣することによって行われます。

この攻撃では、スニファーは送信システムからのDNS要求を傍受し、それらに応答します。 要求が送信されたシステムのIPアドレスの代わりに、送信システムはスニファーのIPアドレスを受信し、すべてのトラフィックをスニファーに送信します。 次に、スニファーはこのトラフィックを実際の受信者にリダイレクトする必要があります。 この場合、ドメイン名のなりすまし攻撃がハイジャック攻撃に変わることがわかります。

この攻撃を確実に成功させるには、スニファーはすべてのDNSクエリを調べて、実際の受信者が応答する前にそれらに応答する必要があります。 したがって、スニファーは、送信者システムからDNSサーバーへのトラフィックのルート上に配置する必要があります。さらに、送信者と同じローカルサブネット上に配置する必要があります。

スニファはインターネット経由で送信された要求を表示できますが、送信システムから離れているほど、最初に応答することを確認するのが難しくなります。

すべてのトラフィックをすべてのポートに送信する

上記のすべての代わりに、ハッカーはスイッチをハブ（コンセントレーター）として機能させることができます。 各スイッチは、一定量のメモリを使用して、MACアドレスとスイッチの物理ポート間のマッピングテーブルを格納します。 このメモリは限られています。 オーバーフローすると、一部のスイッチが誤って「オープン」ステータスを報告する場合があります。 これは、スイッチが特定のMACアドレスへのトラフィックの送信を停止し、すべてのトラフィックをすべてのポートに転送し始めることを意味します。 その結果、スイッチはハブ（ハブ）のように機能します。

攻撃を実行する

次に、上記の攻撃を実行するために必要なものを見てみましょう。 ARPスプーフィング、MACアドレスの重複、またはMACフラッディングの場合は、攻撃されたスイッチに直接接続する必要があります。 このような接続は、ドメイン名を模倣するためにも必要です。

結論-ハッカーはシステムをローカルスイッチにインストールする必要があります。 これを行うために、彼は既知の脆弱性を介してシステムにログインし、スニッフィングに必要なソフトウェアをインストールします。 別のバージョンでは、ハッカーはすでに組織内にいます（彼はその従業員または請負業者です）。 この場合、彼はローカルネットワークへの正当なアクセスを使用して、スイッチに接続できるようにします。

IPアドレススプーフィング

すでに述べたように、ネットワークを介して送信されるパケットのIPアドレスの正確性はチェックされません。 したがって、ハッカーは、パケットが任意のアドレスから送信されているように見えるように送信者アドレスを変更できます。 難しいのは、返されたパケット（TCP接続のSYN ACKパケット）が送信側システムに戻れないことです。 したがって、TCP接続を確立するためにIPアドレスのなりすまし（IPなりすまし）を試みることは非常に困難です。 さらに、TCPヘッダーには、パケットの受信を確認するために使用されるシーケンス番号が含まれています。 新しい接続ごとの初期シーケンス番号（ISN）は、疑似ランダムに選択されます。

IPスプーフィング攻撃の詳細

この図は、IPアドレススプーフィング攻撃の実行を示しています。 1-ターゲットの識別。 2.-初期シーケンス番号（ISN）の増分値の決定。 これは、ターゲットシステムへの一連の正当な接続を確立し、返されたISNにマークを付けることで実行できます（そうすることで、ハッカーは自分のISNを「公開」するリスクを冒します。 実際のIPアドレス）。 申し訳ありませんが、このように回転していますが、図面では機能しません。 私より強く食べる...

この記事では、ネイティブWebソケットを使用してサーバーと対話するiOSアプリケーションのトラフィックをプロキシする方法について説明します。 この記事は、iOSアプリケーションから非標準的な方法で送信された機密情報の傍受に遭遇したペンテスターに​​役立ちます。 これらの方法は、 デフォルトの設定デバイス上のプロキシサーバーは、一部のアプリケーションのトラフィックを傍受するには不十分な場合があります。

最近、別の侵入テスト中に、Webサーバーのポート20xxに情報を送信するアプリケーションに出くわしました。 このアプリケーションのトラフィックは、デフォルト設定（[設定]-> [Wi-Fi]-> [HTTPプロキシ]-> [手動]）を変更し、トラフィックをプロキシにリダイレクトすることによって傍受できませんでした。 このメソッドが機能しない理由の1つは、UIWebViewクラスの代わりにネイティブWebソケット（ネイティブWebSocket）がサーバーとの通信に使用されるためです。 Webソケットの構成方法の詳細については、この記事を参照してください。

ただし、この問題を解決するための回避策があります。 DNSスプーフィングを実装し、Burpなどのプロキシを介してすべてのポートからすべてのHTTPトラフィックをリダイレクトできます。 この記事はパートに分かれています：

1. Wiresharkでトラフィックをスニッフィングして、サーバーのIPアドレスとポートを見つけます。
2. DNSスプーフィングと、プロキシがインストールされているマシンへのすべてのトラフィックの転送。
3. DNSスプーフィングを実行した後、プロキシサーバーを使用してトラフィックを傍受します。

以下は、ネイティブWebSocketを使用してiOSアプリケーションのトラフィックインターセプトを実装するためのステップバイステップの図です。

1.ワイヤレスアクセスポイントを作成し、デバイスをそれに接続します。 [注：ホットスポットにはWi-Fiインターフェースが使用されるため、マシンはイーサネットに接続されているか、インターネットに接続されている必要があります。 この記事では、Windowsマシンにホットスポットを設定する方法について説明します]

2.ネットワークスニファ（Wiresharkなど）を起動し、非標準ポートを通過するトラフィックを探します。

a。 トラフィックをフィルタリングし、必要なIPアドレスに向かうトラフィックのみを残します（ip.dst == ip.ip.ip.ip）

b。 トラフィックの送信先のポート番号を見つけます。

図1：アプリケーションがトラフィックを送信する非標準ポートの検索

3. Metasploit DNSスプーフィングコンソールを起動し、次のコマンドを入力します。

c。 SRVHOST =（ワイヤレスアクセスポイントIP）を設定します

d。 SRVPORT = 53に設定し、TARGETACTION = BYPASSに設定し、TARGETDOMAIN = www.apple.comに設定します（注：TARGETDOMAIN = www.apple.comに設定すると、apple.com以外のすべてのトラフィックが傍受されます）。

e。 set targethost =（ワイヤレスホットスポットIP）

図2：fakednsモジュールを使用したDNSサーバーのセットアップ（Metasploit)

4.特定のポートで着信デバイストラフィックをリッスンし、以前に見つかったポートにリダイレクトするようにBurpを構成します。

a。 [プロキシ]-> [オプション]-> [追加]に移動します。 「bindport」を、アプリケーションがトラフィックを転送するポートに設定します（注：これは、Wiresharkを使用して検出された非標準のtcpポートの1つです）。

b。 すべてのインターフェースをリッスンします。

c。 [リクエストの処理]タブで、サーバードメイン（[ホストにリダイレクト]フィールド）を設定します。

d。 同じタブで、対応するポート番号を設定します（[ポートにリダイレクト]フィールド）。

e。 トラフィックがhttps経由で送信される場合、SSLの強制使用を設定します。

f。 [OK]をクリックして、アプリケーションがトラフィックを送信するすべてのポートに対して上記のすべての操作を繰り返します。 つまり、各ポートには個別に構成されたプロキシリスナーが必要です。

図3：リスニングおよびリダイレクトトラフィックの構成

5.デバイスでプロキシ設定を構成します。

a。 Wi-Fi-> DHCPセクションに移動し、DNS =をアクセスポイントのIPアドレスに設定します。

b。 HTTPプロキシ設定では、アクセスポイントのIPアドレスと、burpが構成されている対応するポートを設定します（これらの設定は、標準のHTTPトラフィックをプロキシするために使用されます）。

図4：IP構成とDNS 転送デバイス上

6. Metasploitコンソールに「エクスプロイト」と入力すると、非標準ポートからの傍受されたすべてのトラフィックが表示されます。

説明されている方法は、非標準的な方法で送信するiOSアプリケーションのトラフィック傍受に関する問題を回避するために使用できます。

ネットワークを介したデータの傍受リモートコンピュータデバイスからの情報の受信と見なされます。 これは、ユーザーの個人情報、ユーザーのメッセージ、Webサイトへのアクセスの記録で構成されている場合があります。 データキャプチャは、スパイウェアまたはネットワークスニファを使用して実行できます。

スパイウェアは、特定のワークステーションまたはデバイスからネットワークを介して送信されるすべての情報を記録できる特別なソフトウェアです。

スニファは、ネットワークを通過するトラフィックを傍受して分析するプログラムまたはコンピュータ機器です。 スニファーを使用すると、コンピューターの所有者に代わってWebセッションに接続し、さまざまな操作を実行できます。

情報がリアルタイムで送信されない場合、 スパイウェア情報の表示と分析に便利なレポートを生成します。

ネットワークの盗聴は、合法的に組織されているか、違法に実行されている可能性があります。 情報の取得の合法性を修正する主な文書は、サイバー犯罪条約です。 2001年にハンガリーで設立されました。 州によって法的要件は多少異なる場合がありますが、重要な意味はすべての国で同じです。

ネットワークを介してデータを傍受する分類と方法

上記に従って、ネットワークを介した情報の傍受は、許可されたものと許可されていないものの2つのタイプに分けることができます。

許可されたデータキャプチャは、企業情報の保護から国家のセキュリティの確保に至るまで、さまざまな目的で実行されます。 このような操作を実行する理由は、法律、特別サービス、法執行官、行政機関の専門家、および企業のセキュリティサービスによって決定されます。

データ傍受を実行するための国際標準があります。 European Telecommunications Standards Instituteは、情報の傍受の基礎となる多数の技術プロセス（ETSI ES 201 158「電気通信セキュリティ;合法的傍受（LI）;ネットワーク機能の要件」）を単一の標準にすることに成功しました。 その結果、シークレットサービスのスペシャリストであるネットワーク管理者がネットワークからデータを合法的に引き継ぐのに役立つシステムアーキテクチャが開発されました。 ネットワークを介したデータ傍受を実装するために開発された構造は、有線および無線の音声通話システムだけでなく、メールによる通信、送信にも適用されます。 音声メッセージ IPによる、SMSによる情報交換。

ネットワークを介したデータの不正な傍受は、機密データ、パスワード、企業秘密、ネットワーク上のコンピュータマシンのアドレスなどを取得したい侵入者によって実行されます。 ハッカーは、目標を達成するために、通常、ネットワークトラフィックアナライザー（スニファー）を使用します。 このプログラムまたは、ハードウェア-ソフトウェアタイプのデバイスにより、詐欺師は、証明書の代用による暗号化されたSSLトラフィックなど、被害者のユーザーが接続しているネットワーク内の情報を傍受して分析することができます。 交通データはさまざまな方法でキャプチャできます。

• ネットワークインターフェイスでリッスンし、
• インターセプターをチャネルブレイクに接続し、
• トラフィックブランチを作成し、それをスニファに複製し、
• 攻撃を行うことによって。

ネットワークの相互作用への侵入やデータの変更を可能にする機密情報を傍受するためのより高度なテクノロジーもあります。 そのような手法の1つは、偽のARP要求です。 この方法の本質は、被害者のコンピューターと攻撃者のデバイスの間でIPアドレスをスプーフィングすることです。 ネットワークを介してデータを傍受するために使用できる別の方法は、おとりルーティングです。 これは、ネットワークルーターのIPアドレスを独自のアドレスに置き換えることで構成されます。 サイバー犯罪者がどのように組織化されているかを知っている場合 ローカルネットワーク被害者がいる場所では、ユーザーのマシンから自分のIPアドレスへの情報の受信を簡単に整理できます。 TCP接続をキャプチャすることも、データを傍受するための効果的な方法です。 攻撃者は、TCPパケットを生成して被害者のコンピュータに送信することにより、通信セッションを中断します。 さらに、通信セッションは、クライアントではなく犯罪者によって復元され、傍受され、継続されます。

影響の対象

ネットワークを介したデータ傍受の対象は、 政府機関、産業企業、商業構造、一般ユーザー。 組織または企業内では、ネットワークインフラストラクチャを保護するために情報キャプチャを実装できます。 特別なサービスや法執行機関は、タスクに応じて、さまざまな所有者から送信された情報の大量傍受を実行できます。

サイバー犯罪者について話す場合、ネットワークを介して送信されるデータを取得するために、任意のユーザーまたは組織が影響力の対象になる可能性があります。 許可されたアクセスでは、受け取った情報の有益な部分が重要ですが、攻撃者は、その後の販売のためにお金や貴重な情報を押収するために使用できるデータに関心があります。

ほとんどの場合、たとえばWi-Fiホットスポットのあるカフェでパブリックネットワークに接続しているユーザーは、サイバー犯罪者による情報傍受の犠牲者になります。 攻撃者はスニファを使用してWebセッションに接続し、データを置き換えて盗みます 個人情報。 これがどのように発生するかについての詳細は、記事に記載されています。

脅威源

企業や組織で許可された情報の傍受は、パブリックネットワークインフラストラクチャ事業者によって実行されます。 彼らの活動は、個人データ、企業秘密、その他の重要な情報を保護することを目的としています。 法的な理由から、メッセージとファイルの転送は、市民と州の安全を確保するために、特別サービス、法執行機関、およびさまざまな政府機関によって監視できます。

攻撃者はデータの違法な傍受に従事しています。 サイバー犯罪者の犠牲にならないようにするには、専門家からのいくつかの推奨事項に従う必要があります。 たとえば、パブリックネットワークに接続する場所では、機密データの承認と転送を必要とする操作を実行しないでください。 暗号化されたネットワークを選択する方が安全であり、さらに良いのは、パーソナル3GおよびLTEモデムを使用することです。 個人データを転送する場合は、HTTPSプロトコルまたは個人VPNトンネルを使用して暗号化することをお勧めします。

暗号化、アンチスニファを使用して、ネットワークトラフィックの傍受からコンピュータを保護できます。 ワイヤレスネットワークアクセスではなくダイヤルアップを使用すると、リスクが軽減されます。